书 书 书
第44卷 第1期
2021年1月 计 算 机 学 报
CHINESEJOURNALOFCOMPUTERS Vol.4J4Nan.2o0.211
收稿日期:20200208;在线发布日期:20200509.本课题得到国家重点研发计划课题(2018YFB0803405)、国家杰出青年科学基金
(61825204)、国家自然科学基金(61932016,61802222)、北京高校卓越青年科学家计划项目(BJJWZYJH01201910003011)、国家研究中心 项目(BNR2019RC01011)、鹏城实验室大湾区未来网络试验与应用环境项目(LZC0019)、华为技术有限公司委托项目(HF2019015003) 资助.徐 恪,博士,教授,博士生导师,主要研究领域为互联网体系架构、高性能路由器、P2P网络、物联网和网络经济学.Email:xuke@ mail.tsinghua.edu.cn.凌思通,硕士研究生,主要研究方向为区块链与网络安全.李 琦,博士,副教授,主要研究方向为网络安全、隐私 保护、大数据安全等.吴 波,博士,主要研究方向为网络体系结构、网络安全、下一代互联网、区块链.沈 蒙,博士,副教授,主要研究方 向为网络安全和云计算中的隐私保护算法等.张智超,硕士研究生,主要研究方向为联邦学习、网络安全和区块链.姚 苏,博士,助理研 究员,主要研究方向为下一代互联网体系结构和网络安全.刘 昕,博士,工程师,主导业务包括平台开发、大数据、产品设计和5G等.
李 琳,硕士,工程师,主导业务包括互联网平台开发、产品设计、大数据开发、系统操作和故障排除等.
基于区块链的网络安全体系结构与 关键技术研究进展
徐 恪
1),2),4) 凌思通1),2) 李 琦2),3) 吴 波5) 沈 蒙6)
吴 波5) 沈 蒙6)
张智超
11)),(2清华大学计算机科学与技术系 北京 ) 姚 苏1),2) 刘 昕71)00
084李
) 琳7)
084
李
)琳7)
2)(北京信息科学与技术国家研究中心 北京 100084)
3)(清华大学网络科学与网络空间研究院 北京 100084)
4)(鹏城实验室 广东 深圳 518000)
5)(华为技术有限公司2012实验室 北京 100085)
6)(北京理工大学计算机学院 北京 100081)
7)(咪咕文化科技有限公司 北京 100088)
摘 要 随着互联网技术的不断演进与用户数量的“爆炸式”增长,网络作为一项基础设施渗透于人们生存、生活 的各个方面,其安全问题也逐渐成为人们日益关注的重点.然而,随着网络规模的扩大以及攻击者恶意行为的多样 化、复杂化,传统网络安全体系架构及其关键技术已经暴露出单点信任、部署困难等诸多问题,而具备去中心化、不 可篡改等特性的区块链技术为网络安全所面临的挑战提供了新的解决思路.本文从网络层安全、应用层安全以及 PKI安全三方面对近几年基于区块链的网络安全体系结构与关键技术研究进行梳理,并将区块链的作用归类为真 实存储、真实计算、真实激励三种情形.针对区块链的具体应用领域,本文首先介绍了该领域的安全现状,然后对区 块链的具体应用研究进行了介绍,并分析了区块链技术在该领域所存在的优势.本文最后结合现有的解决思路对 未来区块链应用中所需要注意的隐私问题、可扩展性问题、安全问题以及区块链结构演进的方向进行了分析,并对 未来基于区块链的网络安全体系结构与关键技术研究进行了展望.
关键词 区块链;网络安全体系结构;网络层安全;应用层安全;PKI安全 中图法分类号TP393 犇犗犐号10.11897/SP.J.1016.2021.00055
犚 犲 狊 犲 犪 狉 犮 犺 犘 狉 狅 犵 狉 犲 狊 狊 狅 犳 犖 犲 狋 狑 狅 狉 犽 犛 犲 犮 狌 狉 犻 狋 狔 犃 狉 犮 犺 犻 狋 犲 犮 狋 狌 狉 犲 犪 狀 犱 犓 犲 狔 犜 犲 犮 犺 狀 狅 犾 狅 犵 犻 犲 狊 犅 犪 狊 犲 犱 狅 狀 犅 犾 狅 犮 犽 犮 犺 犪 犻 狀
XUKe1),2),4) LINGSiTong1),2) LIQi2),3) WUBo5) SHENMeng6) ZHANGZhiChao1),2) YAOSu1),2) LIUXin7) LILin7)
1)(犇犲狆犪狉狋犿犲狀狋狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲犪狀犱犜犲犮犺狀狅犾狅犵狔,犜狊犻狀犵犺狌犪犝狀犻狏犲狉狊犻狋狔,犅犲犻犼犻狀犵 100084)
2)(犅犲犻犼犻狀犵犖犪狋犻狅狀犪犾犚犲狊犲犪狉犮犺犆犲狀狋犲狉犳狅狉犐狀犳狅狉犿犪狋犻狅狀犛犮犻犲狀犮犲犪狀犱犜犲犮犺狀狅犾狅犵狔,犅犲犻犼犻狀犵 100084)
3)(犐狀狊狋犻狋狌狋犲犳狅狉犖犲狋狑狅狉犽犛犮犻犲狀犮犲犪狀犱犆狔犫犲狉狊狆犪犮犲,犜狊犻狀犵犺狌犪犝狀犻狏犲狉狊犻狋狔,犅犲犻犼犻狀犵 100084)
4)(犘犲狀犵犆犺犲狀犵犔犪犫狅狉犪狋狅狉狔,犛犺犲狀狕犺犲狀,犌狌犪狀犵犱狅狀犵 518000)
5)(2012犔犪犫狊,犎狌犪狑犲犻犜犲犮犺狀狅犾狅犵狔犆狅.犔狋犱.,犅犲犻犼犻狀犵 100085)
6)(犛犮犺狅狅犾狅犳犆狅犿狆狌狋犲狉犛犮犻犲狀犮犲,犅犲犻犼犻狀犵犐狀狊狋犻狋狌狋犲狅犳犜犲犮犺狀狅犾狅犵狔,犅犲犻犼犻狀犵 100081)
7)(犕犻犵狌犆狌犾狋狌狉犲犜犲犮犺狀狅犾狅犵狔犆狅.,犔狋犱,犅犲犻犼犻狀犵 100088)
犃犫狊狋狉犪犮狋 WiththecontinuousevolutionofInternettechnologyandtheexplosivelyincreasing
《 计
算 机
学 报
》
numberofusers,theInternethasbecomeanintegralpartofpeople’sdailylife.Therefore, networksecurityhasbecomethefocusofattention.Researchershavebeendoingmuchresearch onnetworksecurity.However,withtheexpansionofnetworkscaleandthediversificationof attackers’misbehaviors,somedrawbackshavebeenexposedtotraditionalnetworksecurity architectureanditskeytechnologies.Firstly,mostoftoday’snetworksecurityinfrastructures, suchasPKIandRPKI,arerealizedasacentralizedarchitecture.Therefore,thecybersecurity measuresbuiltonthetrustinthesecentralizedinfrastructuresexposeasinglepointoftrustproblem. TheincidentsofDigiNotarhackedtoissuethemaliciouscertificateformorethan500websites andSymantec’smisinformationofmorethan30000certificateextensionvouchersallindicatethat onceincidentsoccurinthesetrustcenters,itwillbeasevereimpactontheentireInternet. Secondly,sinceearlynetworkarchitecturedesignationdidnotseriouslyconsidersecurity,the deploymentofmanylaterproposedsecuritymechanismswillmodifyexistingnetworkprotocols andaffectnetworkefficiency.Therefore,therearedifficultiesintheactualdeploymentofthese securitymechanisms.Besides,withtheadventoftheIoTera,thenetwork’scomplexitywill continuetoexpand,andnetworksecurityconstructionshouldbeparticipatedbymanyorganizations andeventhewholepeople.However,thereisalackofareliableincentivemechanismtocoordinate thecooperationbetweendifferentorganizationsandmobilizeusers’enthusiasmtoparticipatein thenetworksecurityconstruction.Nowadays,thereisnogoodsolutionforthesedisadvantages, butemergingtechnologyblockchainprovidesnewsolutions.Blockchainisatrustworthydistributed databasethatintegratesP2Ptechnology,cryptography,consensusmechanism,anddistributed storagetechnology.Becauseofblockchain’scharacteristicssuchasdecentralization,immutability, andauditability,researchershavedevotedthemselvestoresearchingblockchainbasedapplications onnetworksecurity.Fromtheperspectiveofnetworksecurityarchitecture,blockchainbased applicationsfocusonnetworklayersecurity,applicationlayersecurity,andPKIsecurity.The applicationsinnetworklayerincludecollaborativeintrusiondetectionandinterdomainrouting security.Theapplicationsintheapplicationlayerincludevulnerabilitycrowdsourcingandaccess control.Blockchain’sapplicationsforPKIsecurityistoimprovecentralizedPKIorbuilddecen tralizedPKI.Furthermore,blockchain’sroleinthesenetworksecurityapplicationsisclassified intotruestorage,truecomputing,andtrueincentive.Truestorageistotakeblockchainasa storageplatformtoensuretheauthenticityofstoreddata,avoiddatatampering,andmakea properresponsetotheuser’sdataaccessrequest.Truecomputingistotakeblockchainasa computingplatformbasedontruestorageandsmartcontracts.Theplatformcanensurethe computingprocesses’openness,transparency,andverifiabilitywhileensuringthecomputing results’authenticity,credibility,andimmutability.Trueincentiveintroducesincentivemechanisms basedontruestorageandtruecomputingtorealizetransparentrewardandpunishment measures.Foreachspecificblockchainbasedapplicationonnetworksecurity,thispaperfirst introducesthesecuritystatus,thenintroducesthespecificresearchworksandshowshowblock chainisappliedtoimprovesafety,finallyanalyzingtheadvantagesofblockchaintechnologyin thisfield.Intheend,thispaperintroducesthechallengesthatshouldbepaidattentiontoin blockchainbasedapplicationsonnetworksecurity,includeprivacy,scalability,blockchain security,andstructureevolutiondirection.Moreover,thispaperprospectsfuturenetwork securityarchitectureandkeytechnologiesbasedonblockchain.
犓犲狔狑狅狉犱狊 blockchain;networksecurityarchitecture;networklayersecurity;applicationlayer security;PKIsecurity
6
5 计 算 机 学 报 2021年
《 计
算 机
学 报
》
1 引 言
自从1969年ARPANET正式投入运行以来, 互联网已经发展了50余年,从最初的仅有4个节点 到如今全球接近44亿网络用户,从最初仅用于军事 研究目的到如今“互联网+”涵盖各个领域,互联网 已经作为一项基础设施渗透于人们生存、生活的各 个方面.然而,互联网技术在为人们带来诸多便利的 同时,其安全隐患也给人们的生活、财产带来了严峻 的挑战.从2018年2月黑客攻击韩国冬奥会致使会 场网络中断
①
到2018年8月全球最大的半导体制 造商台积电遭受WannaCry恶意病毒袭击②
,再到 2018年底万豪酒店集团五亿客户隐私数据泄露③
,各种网络安全事件都表明,一旦网络遭受攻击,将对 人们的生活造成极其严重的影响.因此,如何确保网 络安全是网络发展的重点研究对象.
一直以来,研究者们在网络安全领域开展了大 量的研究工作,但是随着网络规模的扩大以及恶意 攻击行为的多样化复杂化,传统网络安全体系结构 已经暴露出诸多弊端.首先,如今的大部分网络安全 基础设施都是基于中心化的体系架构,例如公钥基 础设施(PublicKeyInfrastructure,PKI)和资源公 钥基础设施(ResourcePKI,RPKI).然而,作为许多 现有网络安全技术的信任中心,这些基础设施却暴 露出了严重的单点信任问题.荷兰安全证书提供商 DigiNotar遭受入侵为超过500个网站发布恶意证 书
④
,以及证书颁发机构赛门铁克误发超过三万个 证书扩展凭证⑤
等事件都表明,一旦这些信任中心 发生事故,将对整个互联网造成严重的影响.其次, 由于网络架构的早期设计并没有详细考虑安全问 题,而许多后来提出的安全机制(例如DNSsec[1]和 BGPsec[2])不仅需要对现有网络协议进行改动,而 且还会严重影响网络的运行效率,从而造成这些机 制实际部署上的困境;此外,随着万物互联时代的到 来,网络的复杂度将持续扩大,网络安全建设应该由 现阶段的不同组织独立参与发展为多组织协同参与 甚至全民参与,然而目前还缺乏一套可信的激励机 制来协调不同组织之间的合作,并调动大家参与网 络安全建设的积极性.针对这些问题,区块链技术的 出现提供了新的解决思路.区块链是一种集成了P2P技术、密码学、共识 机制以及分布式存储技术的可信分布式数据库,并 且具有可审计、去中心化、不可篡改等特点[3].正是
这些特点促使大量研究人员将区块链应用于网络安 全领域.然而,现阶段却缺乏对这些研究的系统性梳 理工作,2017年赵阔等人的工作[4]以及我们的前期 工作[5]都是针对物联网安全领域,因此没能对区块 链在网络安全领域的应用进行系统性介绍;陈迪等 人[6]的工作主要是对区块链在域间路由安全的应用 进行介绍;Tara等人[7]的工作虽然对基于区块链的 安全服务进行介绍,但并不是主要针对网络安全领 域,其中只是涉及PKI、数据隐私、溯源三个方面;与 本文最相似的一篇综述则是来自于2018年陈烨等 人[8],该文章介绍了区块链在网络数据安全和隐私 保护、物联网设备的权限管理以及DDoS防御三方 面的应用,但该文章所涉及的区块链应用场景较少, 且没能对这些应用研究进行分类梳理,也没能对区 块链应用于网络安全所要注意的问题进行分析.本 文对近几年基于区块链的网络安全体系结构与关键 技术研究进行梳理,以TCP/IP网络体系架构为基 准,从网络层安全、应用层安全以及PKI安全三方 面介绍了基于区块链的网络安全体系结构与关键技 术研究的最新进展,并系统性地分析了区块链应用 于网络安全领域的优势与不足.
本文第2节对区块链体系结构与原理进行介 绍;第3节对区块链在网络安全的应用进行概述;之 后第4~6节分别对区块链在网络层安全、应用层安 全以及PKI安全的应用进行具体展开介绍;第7节 针对区块链应用在网络安全过程中所需要注意的隐 私问题、可扩展性问题、安全问题以及区块链结构演 进方向进行分析与展望;最后对全文进行总结.
2 区块链体系结构
区块链这一概念最早起源于2008年中本聪发 布的比特币白皮书[9],之后分别经历了以太坊[10]为 代表的智能合约时代和Hyperledger[11]为代表的联 盟链时代的发展,如今区块链已经应用到了数字货
7 1期 徐 恪等:基于区块链的网络安全体系结构与关键技术研究进展 5
①
②
③
④ ⑤
HackersTargetedtheWinterOlympicsOpeningCeremony to‘Embarrass’SouthKorea.http://time.com/5155234/ hackerstargetedpyeongchangopeningceremony2018,2,13 TSMCChipMakerBlamesWannaCryMalwareforProduction Halt.https://thehackernews.com/2018/08/tsmcwannacry ransomwareattack.html2018,8,7
史上规模最大!万豪旗下酒店发生5亿客户信息被泄露.
https://tech.sina.com.cn/roll/20181201/docihpevhcm 5918790.shtml2018,12,1
DigiNotar.https://en.wikipedia.org/wiki/DigiNotar GoogletakesSymantectothewoodshedformisissuing30,000 HTTPScerts.https://arstechnica.com/informationtech nology/2017/03/googletakessymantectothewoodshed formisissuing30000httpscerts/2017,3,24
《 计
算 机
学 报
》
币、供应链管理、云游戏等各个领域,其体系结构也 呈现出了一种多元化的趋势,但总体上可以概括为 数据层、网络层、共识层、智能合约层、应用层以及激 励机制六个部分.
(1)数据层是区块链可审计性的来源,其主要 定义了区块链的数据结构并借助密码学确保数据的 安全性.区块链的数据通常是采用文件系统(例如比 特币)或数据库(例如以太坊)进行存储,区块链的具 体结构则因为区块链的不同而存在着差异,但交易 的组织方式和区块的链接方式都大体相同.每个区 块都包含头部区域和数据区域,如图1所示,节点在 生成区块时,先将交易构建成默克尔树[12],即将交 易作为树的叶子节点,中间节点为其左右子节点数 据连接起来后的哈希值,从而得到一个树根节点即 默克尔根;默克尔根、前一区块头部哈希以及其它字 段一起组成区块头部,默克尔树除去树根以外的部 分则作为区块的数据区域.
前一区块头部哈希的存在使得区块之间形成一 种链式结构,因此,基于密码学安全性保证,节点只 需存储任意区块头部,就可对之前区块头部进行哈 希计算并与所存区块头部中的哈希值进行对比,从 而验证之前所有区块头部的完整性.
用默克尔树来组织交易则可以实现对单个交易 的正确性进行高效验证,如图1所示,当用户需要对 交易Tx0进行验证时,可以请求区块链返回Hash1、 Hash23;然后将Tx0进行哈希获得Hash0,并结合 所返回的哈希值计算出一个根哈希;将计算出的根 哈希与本地存储区块头部中的根哈希进行比对,即 可验证交易的完整性.
图1 区块数据结构示意图
(2)网络层是区块链去中心化的来源,其主要 定义了区块链节点之间组网流程以及数据在节点间 的传播方式.现阶段区块链主要是采用对等网络
(PeertoPeer,P2P)构建网络层,每个区块链节点在 加入P2P网络时,都会试图获取其它节点的地址信 息并与多个节点建立邻居关系.当节点产生交易、区 块等数据时会将其传播至邻居节点,邻居节点则继 续传播直到数据扩散至全网所有区块链节点.每个 节点都会根据收到的交易、区块等数据构建本地区 块链,节点与节点之间互为冗余备份,从而构成了去 中心化的分布式系统,因此可以有效解决单点故障 问题.
(3)共识层是区块链一致性、不可篡改的来源, 其主要定义了在完全不可信的环境下分布式节点如 何对区块链上的数据达成一致.即在每个区块链节 点都通过网络层获取到全网所有交易、区块等数据 的前提下,即使部分节点可以随意发布恶意信息,也 能通过共识算法确保其它诚实节点本地区块链的数 据是一致且正确的.现阶段主要共识算法有工作量 证明(ProofofWork,PoW)[9]、权益证明(Proofof Stake,PoS)[13]、实用拜占庭容错(PracticalByzantine FaultTolerance,PBFT)[14]等,在每轮共识过程中, 共识算法会选举或竞争出一个领导节点将收集的交 易打包成区块并通过P2P网络发送给其它节点.每 个节点会对区块中的哈希值、签名以及交易的有效 性等进行验证,并将通过验证的区块加入到本地区 块链.由于在共识过程中所有节点都完成了区块的 验证工作,因此区块链解决了矿工节点间的互信问 题;此外用户在访问区块链时,可以对多个节点同时 访问,并根据少数服从多数原则选择合适的结果,因 此在多数节点遵从协议的情况下,区块链具有不可 篡改的特性,并可以有效解决中心化系统所存在的 单点信任问题.
(4)智能合约层的出现拓展了区块链的应用范 围,其建立在共识层之上,主要定义了编写智能合约 的语言以及智能合约的执行环境.智能合约以一段 程序的形式部署在分布式区块链节点上,当分布式 区块链节点对区块链数据达成共识后,若区块中存 在交易对智能合约进行调用,或某些状态信息满足 要求,区块链节点将自动执行这段程序,并将程序执 行结果记录在本地区块链中.基于共识层所实现的 全网节点本地区块链的一致性,全网节点共同基于 本地一致的区块链数据库执行智能合约并将执行结 果记录到本地区块链中,从而全网节点能够对智能 合约的执行结果达成共识.因此基于共识层所提供 的一致、不可篡改等特性,智能合约具备自动执行、 执行结果不可篡改等特点.
8
5 计 算 机 学 报 2021年
《 计
算 机
学 报
》
(5)应用层则是通过服务端、前端、app等现有 技术将智能合约的相关接口进行封装,并设计友好 的图形用户接口,为用户提供比特币钱包等各种去 中心化的应用服务.
(6)激励机制在早期作为激励层体现在区块链 架构中,但随着区块链的发展,激励机制可以和区块 链各个层次相结合并产生不同的激励效果.与共识 层结合时,矿工节点在打包区块时会在其中包含一 个将激励发送给自己的交易,因此激励会随着区块 的确认自动发放给相应的矿工节点,从而激励矿工 节点参与区块链的维护,比特币和以太坊就是采 用这种激励机制的典型代表;激励机制与智能合 约层相结合则是基于区块链中智能合约对货币的
可编程操作性,将激励机制以及获取激励的条件 写到智能合约中,并借助智能合约自动执行且执 行结果不可篡改的特点确保激励能真实可信地发 放到满足条件的用户,从而达到吸引用户的目的; 激励机制与应用层相结合则是基于应用直接面向 用户的特点,根据区块链记录的用户历史行为对 其进行信用评分,并根据信用评分的不同对用户 进行区别化服务,从而激励用户保持良好的行为 习惯.上述区块链体系结构的内容可由图2进行概 括,正是因为区块链各部分所提供的可审计、去中心 化、一致性、不可篡改等诸多特点,区块链技术开始 被广泛应用于网络安全领域.
图2 区块链体系结构图
3 基于区块链的网络安全应用概述
从TCP/IP网络体系结构的角度出发,网络安 全体系架构应该被划分为链路层安全、网络层安全、 传输层安全以及应用层安全.然而,传统网络体系结 构在设计之初并没有将安全性纳入设计范围,从而 导致如今的大部分网络安全技术都需要基于第三方 基础设施才能有效构建,这些第三方基础设施被称 为网络安全基础设施.PKI作为一个重要的网络安 全基础设施支撑着整个网络安全体系架构,从不同 层次来看,网络层安全中的IPsec协议,传输层安全 协议(TransportLayerSecurity,TLS),应用层安全 中的邮件安全协议S/MIME都是基于PKI建立 的,因此,PKI安全支撑着整个网络的安全体系架
构,是网络安全的技术基础.
区块链在具体应用的过程中根据参与实体的不 同可以分类为私有链、公有链以及联盟链.其中私有 链的参与方通常都属于一个组织;公有链的参与方 则是任何实体;联盟链的参与方则是加入联盟的成 员.目前取得广泛应用的区块链类型都属于公有链 或联盟链,这两类区块链作为一个分布式可信账本 都涉及不同利益体之间的交互,主要用于解决不同 利益体之间的信任问题,或者作为一个第三方可信 平台用来解决用户对平台的信任问题.因此,区块链 主要在涉及多个平等利益体交互的场景或者需要引 入可信第三方的场景中发挥作用.从网络安全体系 结构的角度来看,具备这样特征的场景主要出现在 网络层、传输层、应用层、PKI四个部分.
网络层安全主要涉及数据平面安全和控制平面
9 1期 徐 恪等:基于区块链的网络安全体系结构与关键技术研究进展 5
《 计
算 机
学 报
》
安全,基于区块链的关键技术则体现在协同式网络 入侵检测和域间路由安全两个方面,其中协同式网 络入侵检测是为了检测数据平面流量异常并及时对 异常流量报警过滤;域间路由安全则是为了确保控 制平面域间路由信息的正确性,从而有效指导数据 平面的流量转发.传输层安全主要涉及端到端的通 信安全,从而确保通信数据的机密性、完整性,现阶 段这样一种安全机制是基于PKI所建立的,因此区 块链在传输层安全的应用主要通过在PKI安全中 的应用来体现.应用层安全主要涉及应用软件自身 实现逻辑的安全性以及运行过程中面临潜在恶意用 户访问时的安全性,基于区块链的关键技术则主要 体现在漏洞检测众包以及访问控制机制两个方面, 其中漏洞检测众包的目的是将漏洞检测任务众包出 去,从而尽早发现漏洞并及时修补,确保应用本身的 安全;访问控制机制则是对资源的访问设置规则,以 防止用户资源被非法访问.PKI即公钥管理设施,负 责公钥的分发、撤销等一系列工作,并对公钥持有者 的身份进行背书,从而确保网络中通信双方可以互 相认证身份.由于现有PKI主要是采用中心化架 构,因此区块链在PKI安全方面的应用主要体现在 加强中心化PKI安全和构建去中心化的PKI两个 方面,前者主要目的是在保留原有中心化PKI不变 的基础上,引入区块链技术使其更安全高效;后者则 是用区块链构建一个完全去中心化的PKI来取代 现有的中心化架构.
在基于区块链构建上述网络安全相关技术的过 程中,区块链的主要作用可以总结为真实存储、真实 计算、真实激励三个方面:
(1)真实存储是将区块链作为一个真实存储平 台,确保用户所存储的数据真实存在,不会被恶意篡 改,并且面对用户的数据访问请求也能做出真实的 回应.在基于区块链所构建的真实存储平台中,用户 以交易的形式请求数据的增加、修改、撤销等操作, 其它用户则可以按需对数据库的内容进行读取,并 基于这些数据完成后续的计算工作.在对数据进行 存取的整个流程中,区块链数据层提供的可审计性 确保用户在访问数据时可以对其完整性进行验证; 区块链网络层提供的去中心化特性则可以有效避免 单点失效问题;区块链共识层提供的一致性和不可 篡改性则确保用户访问所获取数据的真实性.因此 相比于传统中心化的存储平台,基于区块链构建的 分布式真实存储可以稳定运行,并且有效避免中心 服务器宕机、恶意篡改、隐瞒数据,或者对不同用户
提供不一致的访问结果等问题.
在基于区块链真实存储所构建的网络安全应用 中,存在着数据可验证与不可验证两种情况.数据可 验证是指用户所上传数据的有效性存在清晰的判断 标准,因此其它用户在获取该数据时可以准确判断 其可用性,并基于该数据完成后续的计算工作,例如 域间路由安全中的路由宣告信息、访问控制机制中 的授权策略信息,PKI中的证书信息;数据不可验证 则是指用户所上传数据的可用性无法显性判断,因 此往往需要引入信用评分、用户评价等机制来辅助 用户对数据的可用性进行预判,例如协同式入侵检 测中各系统上传的报警信息、检测模型信息等.
(2)真实计算是在真实存储的基础之上,引入 智能合约,进一步构建一个真实计算平台,确保计算 流程的公开、透明、可验证,以及计算结果的真实、可 信、不可篡改.在该计算平台中,计算逻辑被编码进 智能合约中并部署在区块链上,用户可以通过发布 交易来触发智能合约的执行,调用智能合约的交易 以及智能合约的执行结果都被真实存储在区块链中. 因此相比于传统中心化、分布式计算平台,基于区块 链构建的分布式真实计算平台能在承担用户计算开 销的同时,有效解决传统中心化计算平台计算流程不 透明、计算结果不可验证、无法确保真实性等问题.
在基于区块链真实计算平台所构建的网络安全 应用中,根据计算时机的不同可以分为预先计算和 实时计算两种情况.
①预先计算是指提前将要计算的任务交由区 块链执行,并将执行结果保存在区块链中,用户则可 以按需直接对计算结果进行访问.预先计算通常在 计算任务针对不同用户都一致时使用,因此可以提 前计算好对所有用户都适用的结果,例如PKI中证 书的验证工作,针对同一证书,所有用户对其验证流 程都是一致的.在预先计算场景下,由于用户在查询 计算结果时只需要进行哈希计算即可验证该结果的 完整性,因此当计算任务繁重时,预先计算的方式能 显著减小用户获取计算结果的时间开销.
②实时计算则是指用户在有计算任务需求时, 通过交易调用智能合约,等待交易被打包执行,并获 取执行结果.实时计算所涉及的中间数据通常都随 着调用者的不同而不同,因此无法像预先计算那样 提前计算一个对所有用户都适用的结果.例如访问 控制机制中,针对同一资源,不同用户的访问控制策 略是不一致的,因此需要在用户请求访问时根据用 户的身份实时判定用户的访问权限.在基于实时计
0
6 计 算 机 学 报 2021年
